Od 25. svibnja osobnim podacima više se neće moći manipulirati kao dosad / Foto iSTOCK
Hrvatska nije spremna, kaže konzultantica Ana Keglović Horvat. Obveznici GDPR-a, smatra, su podcijenili cijelu situaciju, a obveznik GDPR-a je svatko tko radi s bilo kakvim osobnim podacima
Prvo dobra vijest – od 25. svibnja vašim osobnim podacima više se neće moći manipulirati kao dosad. Prošla su, čini se, vremena u kojima je svatko tko potpiše ugovor o nekoj usluzi ili da svoje podatke za nagradnu igru mogao očekivati česte pozive (ili mailove, svejedno) s fenomenalnim novim ponudama. Prošla su, čini se, a to je mnogo važnije i vremena u kojima su se vaši osobni podaci, lista prijatelja i politički stavovi mogli prodavati u političkim kampanjama za velike novce, ili u kojima se o »curenju« podataka moglo mudro šutjeti.
Od rečenog datuma počinje se primjenivati Opća uredba o zaštiti podataka (GDPR), koja bi trebala osigurati daleko pažljivije i odgovornije rukovanje s podacima korisnika. Primjerice, morat će se korisniku, kako slikovito kaže konzultantica Ana Keglović Horvat, »kao da je dijete od tri godine« objasniti zašto mu se uzimaju podatci, u koju svrhu ih se kani koristiti, hoće li i netko treći imati uvid u njih i tko. Nema više onih opširnih uvjeta korištenja na koje morate kliknuti »I accept« da bi nastavili koristiti uslugu, sve mora biti objašnjeno jasno i vrlo jezgrovito.
A ako ne bude?
Vlada se u Zakonu o provedbi opće uredbe o zaštiti podataka odlučila iskoristiti mogućnost koju GDPR dopušta, a koja je već razbjesnila poslovni sektor. Naime, tijela javne vlasti neće morati plaćati novčane upravne kazne za nepoštivanje GDPR-a. U Banskim dvorima su se na to odlučili kako jer smatraju da bi se time samo sredstva s jedne proračunske stavke prelijevala u drugu. »Problem je što mi nismo – Švedska. Tko će kod nas natjerati nekog župana ili ravnatelja tijela javne vlasti da čuva podatke po GDPR-u kad za nepoštivanje te uredbe nije predviđena nikakva kazna?«, pita se Keglović Horvat.
Iz GONG-a kažu kako se ovakvo izuzimanje tijela državne uprave i drugih državnih tijela, te jedinica lokalne samouprave od odgovornosti prema zaštiti osobnih podataka koje prikupljaju može imati nesagledive posljedice. »Nedavno ubojstvo slovačkog novinara Jána Kuciaka, primjerice, povezuje se s curenjem njegovih osobnih podataka iz tijela javne vlasti kojem je poslao zahtjev za informacijom«, konstatirali su iz GONG-a u analizi nacrta Zakona koji je Vlada uputila u Sabor.
E tek onda bi moglo biti napeto. Korisnici se mogu žaliti nadležnom nacionalnom tijelu, u Hrvatskoj je to Agencija za zaštitu osobnih podataka. Kazne još nisu detaljno definirane, ali po GDPR-u se zna maksimalna – 20 milijuna eura ili, ako je ta svota viša, četiri posto godišnjeg globalnog prihoda. Pritom, korisnici koji se smatraju oštećenima moći će i sami, ili grupno, u odvojenom postupku tražiti naknadu štete.
Čuvanje podataka
S druge strane, oko skorog zaživljavanja Opće uredbe o zaštiti podataka ima i lošijih vijesti.
Iako je GDPR na razini EU donesen prije dvije godine (uz odluku o početku primjene 25. svibnja 2018.), dakle svima su dane dvije duge godine za pripremu na primjenu ove složene i osjetljive regulative, Hrvatska je, kako izgleda, nespremna. Dramatično nespremna.
Nacrt konačnog zakona o provedbi Opće uredbe o zaštiti podataka donesen je na sjednici Vlade održanoj 12. travnja. Ove godine. Zakon je u hitnom postupku u Saboru, tako da će valjda biti usvojen do kraja svibnja.
Ali, s njim se treba i uskladiti, kao i sa samom Općom uredbom o zaštiti podataka.
»Realno, kad zakon bude donesen, ostat će vam u najboljem slučaju dva-tri tjedna da se s njim uskladite. Čak i da se naš nacionalni zakon ne donese do 25. svibnja, GDPR će se primjenjivati. Hrvatska, ukratko, nije spremna«, kaže konzultantica Ana Keglović Horvat. Obveznici GDPR-a, smatra, su dosta podcijenili cijelu situaciju.
Tko god je u ovom trenutku, poput autora teksta pomislio da je to problem tih, kako se zovu, obveznika, malo je pogriješio.
Naime, obveznik GDPR-a je svatko tko radi s bilo kakvim osobnim podacima. Osobni podatak zaštićen GDPR-om je, primjerice i mail adresa u formatu ime.prezime@firma.
U primjeru koji Keglović Horvat često ističe, čak i osoba koja ima trafiku na uglu je vjerojatno obveznica GDPR-a.
Sve tvrtke koje se koriste osobnim podacima građana EU moraju se uskladiti s GDPR-om. Dakle, i giganti poput Facebooka ili Googlea i onaj kineski web-shop u kojem ste kupili zadnji mobitel. Čak ni aplikacija koja mobitel pretvara u džepnu lampu ne bi smjela od korisnika tražiti pristup podacima koji nemaju nikakve veze s njenom namjenom. Jer, doista, što će džepnoj lampi pristup vašim kontaktima ili fotografijama?
»To je, recimo, mikropoduzeće s jednim zaposlenim. S tom osobom sklopljen je ugovor o radu i prikupljeni su podaci o radniku – njegov dosje, CV, certifikat, motivacijsko pismo… Dakle, i više podataka nego što je potrebno da se zaključi ugovor o radu. Ti podaci se moraju prikupljati, obrađivati i čuvati onako kako to traži GDPR. Naravno da je mikropoduzetnicima, poput ovog s trafike, to veliki problem – ne mogu angažirati konzultante jer im je to preskupo i ti ljudi kod nas uopće nemaju spoznaju o tome što treba raditi«, kaže Keglović Horvat.
Podizanje svijesti
Ona smatra da je država trebala ići u širu kampanju podizanja svijesti građana i firmi ovoj regulativi. »Znate, kao kampanje o tome da nije dobro voziti pod utjecajem alkohola ili da treba paziti na prvašiće u prometu. Ovdje je rađeno premalo i prekasno, država je trebala dići puno veću galamu, pomoći i ispitanicima i voditeljima obrade da se lakše pripreme i snađu«, veli Keglović Horvat.
Jedan od razloga zbog kojeg je trebalo daleko ranije i šire krenuti u cijelu priču je i složenost posla koji predviđa regulativa. Na naše pitanje o tome što je, onda, za činiti vlasniku neke tvrtke da se uskladi s GDRP-om, ona, uz uzdah, kreće s nabrajanjem: »Prvo analiza postojećeg stanja, da vidite u kojem ste stupnju već usklađeni i što treba popraviti. Zatim, mapiranje podataka i tokova podataka. Što od podataka prikupljate i po kojoj pravnoj osnovi. Tko im ima pristup. Što se s njima radi. Koliko i koliko dugo se čuvaju. Morate voditi razne evidencije, pa i imenovati službenika za zaštitu podataka ako ispunavate uvjete iz Opće uredbe.
Kad to bude gotovo, onda možda morate raditi i procjenu rizika i procjenu učinaka rizika, ovisno o vašem poslovanju i vrstama podataka koje prikupljate i obrađujete. Pa gledate koje su tehničke, fizičke i informacijske zaštitne mjere moguće (čelična kasa?, video nadzor?, promjena šifre svaki petak?, firewall?…). Zatim, ako imate web stranicu, koje podatke na njoj sve prikupljate. Kako? Zašto?…
U GONG-u sumnjaju da je moguće da se Zakon o provedbi opće uredbe o zaštiti podataka, kakvog ga je predložila Vlada, zloupotrijebi na štetu – transparentnosti. Naime, jedino odstupanje od prava ispitanika predviđa se kod obrade osobnih podataka u svrhu službenih statistika. U GONG-u smatraju da je odstupanje trebalo biti predviđeno i u slučajevima obrade osobnih podataka u novinarske svrhe ili u svrhe akademskog ili umjetničkog izražavanja, te javnog pristupa službenim dokumentima i ponovnu uporabu informacija iz javnog sektora.
»Ovaj pozitivan zakonski propis usmjeren prema zaštiti osobnih podataka građana bi se lako mogao okrenuti protiv građana – i iskoristiti kao prepreka ostvarivanju prava iz Zakona o pravu na pristup informacijama«, zaključuju.
Tu nije kraj. Imate i cijeli set pravnih akata koje morate uskladiti ili čak donijeti ako ih nemate. Morate znati po kojoj osnovi prikupljate i obrađujete osobne podatke. Prikupljati privole ispitanika, a ni tu nije kraj, imam još koraka i detalja. I kad sve to riješite, došli ste do točke – nula. Jer, u skladu s GDPR-om trebate poslovati cijelo vrijeme, to je proces koji traje i niti najmanja poduzeća se ne mogu uskladiti baš u dva dana. Negdje nije dosta skoro ni godina dana ako su u pitanju veliki sustavi i velike količine podataka i obrada«, veli Keglović Horvat.
Zanimljiv primjer
Iznosi i još jedan vrlo zanimljiv primjer iz kojeg se vidi kako će se praksa prikupljanja podataka uskoro morati temeljito mijenjati. Dva hotela na obali, naime, kod dolaska gostiju uzimaju putovnice. U prvom prepisuju podatke iz njih i to je u skladu s GDPR-om. U drugom, međutim, skeniraju stranice putovnice, što znači da je vaš biometrijski podatak u sustavu koji se može zloupotrijebiti i, uz malo Photoshopa, ukrasti identitet. »I sutra, hop, imate novi kredit«, kaže konzultantica.
Mnogi poduzetnici, i to kako kaže, »jako etablirani«, lakonski pristupaju onom što će se dogoditi od 25. svibnja i kažu kako je te tek jedan način da država i konzultanti uzmu novce i kako će se već nekako snaći s prilagodbom kao i sa raznim dosadašnjim izmjenama propisa. Međutim, ovaj put je drukčije ne samo zbog složenosti cijelog posla, nego i zato što će u nadzor moći dolaziti i nadzorna tijela drugih država iz EU.
»Mnogi to uspoređuju sa zaštitom na radu, ali ona je manja opsegom i učestalošću dnevnih obveza. GDPR je multidisciplinaran, za usklađivanje s njim trebate cijeli niz različitih stručnjaka i sa zaštitom osobnih podataka se morate baviti na dnevnoj bazi ako vam tako pristižu«, kaže Keglović Horvat.
Pa stoga i rečenica koju nam je izrekla pri kraju razgovora zvuči i kao upozorenje:
»Ne znam nikog tko zna sve segmente rada oko GDPR-a. Ako postoji, neka mi se javi za posao«.